[Иванов Денис]

Cisco SCE 2020 против SIP телефонов

 

Имеется Cisco SCE 2020 3.8.0-classic Build 127 в режиме full functionality, через который подключена сеть из нескольких ПК и аппаратных SIP телефонов. (inline topology)

Для каждого ПК и телефона в SCE добавлены подписчики.

 

Всё работает, но если любому из подписчиков сменить package на тот, в котором установлено действие block the flow для default rule,

а затем сменить package на тот, в котором нет никаких ограничений (например default package),

то SCE не пропускает UDP пакеты от подписчика с портом назначения 5060 (SIP), но при этом пропускает все остальные. (в т.ч. UDP)

Это видно в WireShark, которым я собирал трафик до и после SCE.

 

В результате, если подписчик является телефоном, то он больше не работает.

А если подписчик является ПК, то всё что касается сети работает, кроме программных телефонов. (twinkle например)

Даже спустя сутки SCE продолжает блокировать SIP пакеты от упомянутых выше подписчиков.

Однако, если с ПК попинговать АТС, то через некоторое время SCE перестаёт блокировать SIP пакеты от этого ПК.

Также, сли в ethernet розетку аппартного телефона подключить ноутбук и с него попинговать АТС, то и этот телефон через некоторое время начинает работать.

 

Если выключить и включить интерфейс LineCard 0, то SCE перестаёт блокировать SIP пакеты от проблемных подписчиков.

SCE2000(config if)#>shutdown            
SCE2000(config if)#>no shutdown 

Даже если в Service Configuration Editor -> Policies -> Filtered Traffic добавить Bypass правило для любых пакетов проблемного подписчика в обе стороны, то как и задумано SCE пропускает любые пакеты этого подписчика, но всёравно блокирует его SIP пакеты.

 

От отчаяния начал пробовать всё, что по моему может быть связано с работой SIP пакетов:

 

В Service Configuration Editor -> Policies -> Service Security выключил All atack filter, Anomaly detection, Spam detection and mitigation - не помогло.

 

Попробовал убрать SIP порты 5060 и 5061 из Service Configuration Editor -> Classification -> Configuartion -> Policies -> System Settings -> Advanced Options -> CLassification -> UDP ports for which flow should be opened on first packet

Не помогло.

 

Отключил flow filter

SCE2000(config if)#>no flow-filter partition all

Не помогло.

 

 

Переключил Flow Open Mode c Enhanced на Classical

SCE2000(config if)#>shutdown 
SCE2000(config if)#>flow-open-mode classical 
SCE2000(config if)#>no shutdown 

Не помогло.

 

 

Активировал Subscriber Operation Log Messages

(config)#> management-agent sce-api logging 

Воспроизвёл "смерть" телефона и посмотрел все логи

SCE2000#>more user-log

Ничего криминального по IP телефона, его подписчику, SIP, 5060 и UDP

 

 

SCE2000#>more line-attack-log

Никаких записей после того как отключил All atack filter, Anomaly detection, Spam detection and mitigation (cм. ывше)

 

 

SCE2000#>logger get debug-log file-name debug.log
SCE2000#>more debug.log

Ничего криминального по IP телефона, его подписчику, SIP, 5060 и UDP

 

 

Удалил все упоминания о VoIp из Service Configuration Editor -> Policies -> Global Policies и всех Package - не помогло.

 

 

Текущий конфиг:

 

 

SCE2000#>show running-config
#This is a general configuration file (running-config).
#Created on 08:06:19  UTC  FRI  February  8  2013




#cli-type 1
#version 1




access-list 1 permit 10.1.2.8
no service telnetd
ip access-class 1
ip ssh
no ip ssh SSHv1
no management-agent notifications notification-list 1417,1418,804,815,1404,1405,1406,1407,1408,400
no management-agent notifications notification-list 402,421,440,441,444,445,446,450,437,457
no management-agent notifications notification-list 3593,3594,3595,10040
          
interface LineCard 0
aggregative-global-controllers
aggregative-global-controller-dynamic mode suspend
aggregative-global-controller-dynamic mode active
          
connection-mode inline on-failure bypass
no silent 
no shutdown
flow-open-mode classical
service-bandwidth-prioritization-mode global
protocol-pack version 3.8.0PP32
          
          
flow-filter partition name "ignore_filter" first-rule 4 num-rules 32
flow-filter partition name "udpPortsToOpenBySw" first-rule 40 num-rules 21
no attack-filter protocol TCP
no attack-filter protocol UDP
no attack-filter protocol ICMP attack-direction single-side-both
no attack-filter protocol other attack-direction single-side-both
attack-filter subscriber-notification ports 80
replace spare-memory code bytes 3145728
          
interface FastEthernet 0/0
ip address 10.1.2.119 255.255.255.0 
          
interface FastEthernet 0/1
ip address 10.1.2.119 255.255.255.0 
          
interface GigabitEthernet 0/1
          
interface GigabitEthernet 0/2
          
interface GigabitEthernet 0/3
          
interface GigabitEthernet 0/4
          
exit      
ip default-gateway 10.1.2.254
          
line vty 0 4
exit      
interface Mng 0/1
exit      
interface Mng 0/2
exit      
username sce secret 5 ********
aaa authentication login default local 
aaa authentication enable default none 
          
interface LineCard 0
subscriber anonymous-group name "Anonymous Group" IP-range 0.0.0.0:0x00000000
exit      
no subscriber LEG dhcp-lease-query
subscriber LEG dhcp-lease-query servers 127.0.0.1
logger device SCE-agent-Statistics-Log max-file-size 204800
management-agent property "com.pcube.management.framework.install.activation.operation" "Install"
management-agent property "com.pcube.management.framework.install.activated.version" "3.5.5 build 262"
management-agent property "com.pcube.management.framework.install.activated.package" "SCA BB"
management-agent property "com.pcube.management.framework.install.activation.date" "Fri Nov 30 06:52:50 GMT+00:00 2012"
management-agent sce-api logging

 

 

[Иванов Денис]

Попробовал "поиграться" с определениями протокола SIP в Subscriber Configuration Editor -> Classification -> Configuration -> Classification -> Protocols -> SIP

В Protocol Elements попробовал убрать сигнатуру SIP, оставив сигнатуры Generic - не помогло.

Затем наоборот: убрал Generic, оставил SIP - не помогло.

И наконец вообще удалил протокол SIP - не помогло.

[necrozz]

Есть такая проблема. Шасси 8000, софт 3.7.2, pp 3.7.2PP31. Наблюдается только у части сабов. Со временем, как показала практика, проблема самопроизвольно пропадает. Причину найти не удалось (

[Иванов Денис]

Т.к. не помогает даже добавление Bypass правил для подписчиков-телефонистов в Service Configuration Editor -> Policies -> Filtered Traffic, решил попробовать еще что нибудь:

В Service Configuration Editor -> Classification -> Configuration -> Classification -> Zones добавил зону SIP Servers, в которую добавил несколько IP наших SIP серверов.

В Service Configuration Editor -> Classification добавил службу SIP Servers (протокол - любой, инициирующая сторона - любая, зона - SIP Servers, flavor - любой).

И в каждом Package добавил правило c действием Control the flow's characteristics для службы SIP Servers.

 

В результате телефоны больше не отключаются. Но как понимаете, доступны только перечисленные в зоне SIP сервера. :(

[Иванов Денис]

Т.к. не помогает даже добавление Bypass правил для подписчиков-телефонистов в Service Configuration Editor -> Policies -> Filtered Traffic, решил попробовать еще что нибудь:

Фантастика... Сработало следующее Bypass правило:

transport type: UDP, arrive from either side, subscriber-side IP: any, network-side IP: any, subscriber-side port: 5060-5061, network-side port: 5060-5061

 

Что странно, т.к. до этого пробовал добавить Bypass правило для любого трафика подписчика-телефониста:

transport type: any, arrive from either side, subscriber-side IP: IP подписчика, network-side IP: any, subscriber-side port: any, network-side port: any

и оно не работало.

 

В результате добился того, что SCE тупо пропускает SIP пакеты. Хоть что-то...

[apes]

Подниму тему. На SCE 8k кто как решал проблему?

[catalist]

у нас на 2020 тоже есть такая проблема причём у одного конкретного саба, решили путём выноса саба на железку перед сце

[necrozz]

Подниму тему. На SCE 8k кто как решал проблему?

Да никак ( Контракта нет, проблема ползет из версии в версию... Пролечить до конца у нас не получилось никак. Так они и всплывают периодически.

[raveren]

На шасси 8K, софт 3.7.5, pp PP28B12 проблем с SIP не фиксировали за всё время. По крайней мере жалоб не было. Не так давно обновил софт до 4.2.0, pp PP43B7. Сразу появился один абонент, у которого перестал работать SIP (udp 5060).

 

Никто так и не поборол проблему? Только через Bypass?